密文验证制造技术

本公开涉及一种数据发布设备

【技术实现步骤摘要】
【国外来华专利技术】密文验证


[0001]本公开涉及一种数据发布设备将数据内容分发到网络中的接收设备的方法和一种设备在网络中接收数据内容的方法，以及执行这些方法的设备
。

技术介绍

[0002]在许多数据分发场景中，验证接收到的数据很重要
。
一个此种场景是当诸如软件安装程序
、
视频
、
音频
、
文本内容等的数据存储在第三方不受信任位置时
。
这包括第三方高速缓存或对等
(P2P)
分发，其中数据消费者信任数据发布器，但不一定信任中间数据源
。
[0003]常见的解决方案是数据发布器对内容进行数字签名或提供单独的加密哈希，从而允许终端数据消费者安全地验证发布器和
/
或接收到的数据的完整性
。
[0004]在数据发布器没有提供用于验证数据内容的手段的情况下，终端数据消费者易受在从拒绝服务
(DoS)
攻击到让入侵者完全访问受保护系统的攻击的范围内的多种网络攻击
。
[0005]由于技术或组织原因，改变数据发布器的分发链或中间数据源通常是复杂的，因此期望能够在不改变分发链的任何部分的情况下验证数据发布器的数据内容
。

技术实现思路

[0006]一个目标是解决或至少缓解现有技术中的这个问题，并且因此提供在网络中分发和下载数据内容的改进方法
。
[0007]此目标在第一方面通过一种数据发布设备将数据内容分发到网络中的接收设备的方法来实现
。
该方法包括用与接收设备共享的秘密加密密钥加密数据内容，将加密数据内容分发到接收设备中的至少一个，并且根据请求向接收设备中的至少另一个发送加密数据内容的子集，该接收设备中的至少另一个从网络中的一个或多个其它接收设备下载加密数据内容
。
[0008]此目标在第二方面通过一种设备在网络中接收数据内容的方法来实现
。
该方法包括从网络中的另一设备接收加密数据内容，该数据内容已经用与受信任数据内容发布器设备共享的对称密钥加密，从受信任数据内容发布器设备请求从网络中的所述另一设备
(11)
接收的加密数据内容的子集，以及验证从受信任数据内容发布器设备接收的加密数据内容的子集是否与从网络中的所述另一设备接收的加密数据内容的选定区段匹配，其中匹配指示从所述另一设备接收的加密数据内容可以受信任
。
[0009]此目标在第三方面通过一种被配置成将数据内容分发到网络中的接收设备的数据发布设备来实现，该数据发布设备包括处理单元和存储器，所述存储器包含可由所述处理执行的指令
。
数据发布设备可操作以用与接收设备共享的秘密加密密钥加密数据内容，将加密数据内容分发到接收设备中的至少一个，并且根据请求向接收设备中的至少另一个发送加密数据内容的子集，该接收设备中的至少另一个从网络中的一个或多个其它接收设备下载加密数据内容
。
[0010]此目标在本专利技术的第四方面通过一种被配置成在网络中接收数据内容的设备来实现，该设备包括处理单元和存储器，所述存储器包含可由所述处理单元执行的指令
(212)。
设备可操作以从网络中的另一设备接收加密数据内容，该数据内容已经用与受信任数据内容发布器设备共享的对称密钥加密，从受信任数据内容发布器设备请求从网络中的所述另一设备接收的加密数据内容的子集，以及验证从受信任数据内容发布器设备接收的加密数据内容的子集是否与从网络中的所述另一设备接收的加密数据内容的选定区段匹配，其中匹配指示从所述另一设备
(11)
接收的加密数据内容可以受信任
。
[0011]因此，数据发布器在网络中分发被称为流或片段的一段内容，其由网络中缩进的接收客户端设备共享的对称密钥加密
。
加密内容例如被分发到第一客户端设备，其继而将加密内容分发到第二客户端设备
。
因此，第二客户端设备可使用共享密钥来解密并且随后呈现内容，例如视频流
。
[0012]然而，如果恶意设备将已经用同一共享密钥加密的一段恶意内容分发到第二客户端，那么第二客户端设备不可以区分加密数据内容和随后的所得解密数据内容
——
称为明文
——
是源自受信任设备还是恶意设备
。
因此恶意设备可以欺骗第二客户端设备，因为共享密钥用于加密
/
解密
。
[0013]为了克服此问题，第二客户端设备在
——
从第一客户端设备和
/
或恶意设备
——
接收加密数据内容时转向数据发布器，并且发出请求以下载接收到的加密内容的子集
(
其典型地具有与其相关联的标识符，使得第二客户端设备可向数据发布器发信号通知请求针对哪个加密数据内容
)。
[0014]在示例中，加密数据内容可具有
1GB
的大小，而子集仅构成
1GB
加密内容中的
256
位
。
子集可构成总共
1GB
加密数据内容中的最后
256
位
。
换句话说，子集构成从其中导出该子集的加密数据内容的非常小的一部分
。
[0015]因此，第二客户端设备将
256
位子集与接收到的加密数据内容的最后
256
位进行比较，并且如果两个
256
位集相同，那么认为数据内容未被操纵，其中接收到的加密数据内容被解密，并且明文数据内容在第二客户端设备处呈现
。
如果两个
256
位集不匹配，那么丢弃接收到的加密数据内容
。
[0016]本专利技术的各种实施例将在下文中讨论
。
[0017]通常，权利要求中使用的所有术语应根据其在
中的普通含义进行解释，除非本文另有明确定义
。
所有对“一个
/
一件
/
该元件
、
装置
、
部件
、
手段
、
步骤等”的引用应被公开解释为指代元件
、
装置
、
部件
、
手段
、
步骤等的至少一个实例，除非另有明确说明
。
本文公开的任何方法的步骤不必按照公开的确切顺序执行，除非明确说明
。
附图说明
[0018]现在参考附图以示例方式描述各方面和实施例，在附图中：
[0019]图1示出了在网络中分发数据内容的现有技术方法；
[0020]图2展示在网络中注入内容的恶意设备；
[0021]图3展示根据实施例的网络中数据内容的分发；
[0022]图4示出了展示根据实施例的数据发布器在网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种数据发布设备
(10)
将数据内容分发到网络中的接收设备
(11、12)
的方法，包括：用与所述接收设备
(11、12)
共享的秘密加密密钥加密
(S301)
所述数据内容；将所述加密数据内容分发
(S302)
到所述接收设备中的至少一个
(11)
；根据请求向所述接收设备中的至少另一个
(12)
发送
(S304)
所述加密数据内容的子集，所述接收设备中的所述至少另一个
(12)
从所述网络中的一个或多个其它接收设备
(11)
下载所述加密数据内容
。2.
根据权利要求1所述的方法，所述加密数据内容的所述子集具有小于从其中导出所述子集的所述加密数据内容的
1ppm
的大小
。3.
一种设备
(12)
在网络中接收数据内容的方法，包括：从所述网络中的另一设备
(11、14)
接收
(S303、S307)
加密数据内容，所述数据内容已经用与受信任数据内容发布器设备
(10)
共享的对称密钥加密；从所述受信任数据内容发布器设备
(10)
请求
(S304)
从所述网络中的所述另一设备
(11)
接收的所述加密数据内容的子集；验证
(S305)
从所述受信任数据内容发布器设备
(10)
接收的所述加密数据内容的所述子集是否与从所述网络中的所述另一设备
(11、14)
接收的所述加密数据内容的选定区段匹配，其中匹配指示从所述另一设备
(11)
接收的所述加密数据内容能够受信任
。4.
根据权利要求3所述的方法，所述验证
(S305)
从所述受信任数据内容发布器设备
(10)
接收的所述加密数据内容的所述子集是否与来自所述网络中的另一设备
(11)
的所述加密数据内容的所述选定区段匹配包括：将从所述受信任数据内容发布器设备
(10)
接收的所述加密数据内容的所述子集与从所述另一设备
(11)
接收的所述加密数据内容的所述选定区段进行比较，其中如果所述加密数据内容的所述子集与所述加密数据内容的所述选定区段相同，那么验证匹配
。5.
根据权利要求3或4中任一项所述的方法，进一步包括，如果验证匹配：解密
(S306)
和呈现从所述另一设备
(11)
接收的所述加密数据内容，所述解密是使用与所述受信任数据内容发布器设备
(10)
共享的所述对称密钥执行的
。6.
根据权利要求3至5中任一项所述的方法，进一步包括：从所述数据发布器设备
(10)
接收证书，其中所述数据发布器设备
(10)
被认为受信任
。7.
根据权利要求3至6中任一项所述的方法，进一步包括：标识所述接收到的加密数据内容是否在清单文件中被指示为要由所述受信任数据发布器设备
(10)
分发的加密数据内容，并且如果是，那么如所述清单文件中指示的，从所述受信任数据发布器设备
(10)
请求
(S304)
所述加密数据内容的所述子集
。8.
根据权利要求8所述的方法，其中在所述接收到的加密数据内容在所述清单文件中未被指示为要由所述受信任数据发布器设备
(10)
分发的加密数据内容的情况下，丢弃所述接收到的加密数据内容
。9.
根据权利要求3至8中任一项所述的方法，所述加密数据内容的所述子集具有小于从其中导出所述子集的所述加密数据内容的
1ppm
的大小
。10.
一种计算机程序
(112)
，其包括计算机可执行指令，以用于当所述计算机可执行指令在数据发布设备
(10)
中包括的处理单元
(111)
上执行时使所述数据发布设备
(10)
执行根据权利要求1至2中任一项所述的步骤
。
11.
一种包括计算机可读介质
(113)
的计算机程序产品，所述计算机可读介质具有在其上体现的根据权利要求
10
所述的计算机程序
(112)。12.
一种计算机程序
(112)
，其包括计算机可执行指令，以用于当所述计算机可执行指令在设备
(12)
中包括的处理单元
(211)
上执行时使所述设备
(12)
执行根据权利要求3至9中任一项所述的步骤
。13.
一种包括计算机可读介质
(213)
的计算机程序产品，所述计算机可读介质...

【专利技术属性】
技术研发人员：安德烈亚斯，
申请(专利权)人：蜂巢流有限公司，
类型：发明
国别省市：